Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Podpis elektroniczny – regulacje i praktyka
Program Operacyjny Wiedza Edukacja Rozwój
Oś priorytetowa II: Efektywne polityki publiczne dla rynku pracy, gospodarki i edukacji
Działanie 2.18: Wysokiej jakości usługi administracyjne
Bartosz Nakielski
Warszawa, 11 września 2018 r.
Podpis elektroniczny – regulacje
Akty prawne dot. popisu elektronicznego
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacjielektronicznej i usług zaufania w odniesieniu do transakcjielektronicznych na rynku wewnętrznym oraz uchylającedyrektywę 1999/93/WE (eIDAS)
• Ustawa z dnia 5 września 2016 r. o usługach zaufania orazidentyfikacji elektronicznej
• Rozporządzenia Ministra Cyfryzacji z dnia 5 października2016 r. w sprawie krajowej infrastruktury zaufania
Decyzje wykonawcze
• Decyzja wykonawcza Komisji (UE) 2015/1505 z dnia 8września 2015 r. ustanawiająca specyfikacje techniczne iformaty dotyczące zaufanych list (…)
• Decyzja wykonawcza Komisji (UE) 2015/1506 z dnia 8września 2015 r. ustanawiająca specyfikacje dotycząceformatów zaawansowanych podpisów elektronicznych orazzaawansowanych pieczęci elektronicznych, które mają byćuznane przez podmioty sektora publicznego (…)
Normy i standardy techniczne
• Formaty podpisu
• ETSI TS 103 171 / ETSI EN 319 132 - XAdES
• ETSI TS 103 172 / ETSI EN 319 142 - PAdES
• ETSI TS 103 173 / ETSI EN 319 122 - CAdES
• ETSI TS 103 174 - ASiC
• Algorytmy kryptograficzne
• ETSI TS 119 312
• Profile certyfikatów
• ETSI EN 319 412
Podpis elektroniczny – praktyka
Obsługa zagranicznych podpisów
• Kwalifikowany podpis elektroniczny oparty nakwalifikowanym certyfikacie wydanym w jednym państwieczłonkowskim jest uznawany za kwalifikowany podpiselektroniczny we wszystkich pozostałych państwachczłonkowskich. (art. 25 eIDAS)
• Kwalifikowana pieczęć elektroniczna oparta nakwalifikowanym certyfikacie wydanym w jednym państwieczłonkowskim jest uznawana za kwalifikowaną pieczęćelektroniczną we wszystkich pozostałych państwachczłonkowskich. (art. 35 eIDAS)
Zaufane listy
• Każde państwo członkowskie sporządza, prowadzi i publikujezaufane listy zawierające informacje dotyczącekwalifikowanych dostawców usług zaufania, za których jestono odpowiedzialne, wraz z informacjami dotyczącymiświadczonych przez nich kwalifikowanych usług zaufania.(art. 22 eIDAS)
• Państwa członkowskie sporządzają, prowadzą i publikują –w zabezpieczony sposób – elektronicznie podpisane lubopatrzone pieczęcią elektroniczną zaufane listy, (…) wpostaci dostosowanej do automatycznego przetwarzania.(art. 22 eIDAS)
Jak wygląda zaufana lista ?
• Polska zaufana lista
• https://www.nccert.pl/tsl/PL_TSL.xml
• Wygodniejsze narzędzie
• https://webgate.ec.europa.eu/tl-browser
Algorytmy kryptograficzne (PL)
• Zgodnie z art. 137 ustawy o usługach zaufania do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych możliwe było stosowanie funkcji skrótu SHA-1.
• Obecnie najczęściej stosowanym zestawem algorytmów jest SHA256-RSA(2048)
Algorytmy kryptograficzne (UE)
• ETSI TS 119 312 v 1.2.1 (2017-05)
Wykorzystanie znacznika czasu
• Znacznik czasu dostarcza wiarygodną i dokładną informację nt. czasu złożenia podpisu elektronicznego.
• Przykłady:• Podpis bez znacznika czasu
• Podpis ze znacznikiem czasu
• Określenie czasu weryfikacji
• „na teraz”,
• na pewien określony moment w czasie,
• na moment złożenia podpisu.
Podpis elektroniczny „po latach” -problem
• Jak zweryfikować podpis elektroniczny po X latach ?
• Certyfikat podpisującego utracił ważność
• Brak odpowiedniej listy CRL / odpowiedzi OCSP
• Certyfikat dostawcy usług zaufania utracił ważność
• Dostawca usług zaufania utracił status kwalifikowanego (albo nie istnieje)
• Przykład – weryfikacja podpisu (1341 dni później)
Podpis elektroniczny „po latach” -rozwiązania
• Zapewnienie „papierowego” dowodu
• Usługa walidacji
• Odpowiedni poziom podpisu – podpis na poziomie LT i LTA zapewnia wieloletnią możliwości weryfikacji
• Podniesienie poziomu podpisu podczas weryfikacji
• Przykład – weryfikacja podpisu (1341 dni później)
Czy są jakieś pytania ?
Dziękuję za uwagę